國產SSL VPN應該具備的九大技術和功能
隨著信息安全從單純關注網絡安全轉變為重點關注以業務為核心的應用安全,遠程安全接入的重要性日益明顯,SSL VPN以無需客戶端軟件,保護具體應用,細粒度的訪問控制,詳細的審計等特性,在易用性、安全性和管理性方面更勝一籌。因此,近幾年來SSL VPN的應用范圍正在迅速擴大。
關鍵技術
SSL VPN的關鍵技術包括:Web代理、端口轉發、應用轉換、網絡連接(Network Connection, NC),目前大部分的SSL VPN產品,都是以這幾項技術的一項或幾項為基礎研發實現的。那么,對國產SSL VPN產品而言,哪些技術尤其重要呢?
首先是Web代理技術。由于用戶需要訪問內網的Web應用,而且希望訪問方式盡量簡便,而只有具備Web代理技術,SSL VPN產品才能做到100%零客戶端,才能為用戶提供最簡便的接入方式,因此, Web代理技術對國產SSL VPN產品而言是一項必須技術,也是SSL VPN產品是否專業的重要標準之一。
除了Web代理技術,端口轉發技術的重要性也不容小覷。除了要訪問除Web應用外,用戶還需要經常訪問組織內部的C/S架構應用,例如郵件、FTP、文件共享、數據庫、ERP等,這時,SSL VPN產品采用端口轉發技術實現對C/S應用的處理,是再合適不過的了。
至于應用轉換技術,目前國內用戶需求并不迫切。由于SSL VPN產品需要把FTP、Email,SSH等應用以Web的形式重新實現,實現起來比較復雜,還可能存在提供的功能不夠完整,界面不夠友好,不太符合用戶的操作習慣以及控件引用是不合法等一系列問題。從另一個角度來看,用戶在沒有使用SSL VPN之前,都已經習慣通過相應的客戶端軟件對C/S應用進行訪問,在使用SSL VPN后,仍然希望通過使用原來的客戶端軟件訪問內部的各種C/S應用。由此看來,應用轉換技術并不十分適應于國內的用戶,也并非是國產SSL VPN產品的必須功能。
最后再看NC技術,由于NC技術可以實現SSL VPN與應用無關的特性,因此客戶端通過SSL VPN訪問內部整個子網的需求仍然存在。然而,在使用該功能時,需要給客戶端配置虛擬IP地址,這樣一來,就會遇到地址規劃上的一些問題,在配置和使用上也比較復雜。目前,國內已經有SSL VPN廠商注意到這個問題,為了更好地滿足用戶對易用性的要求,采用了一種“網絡層代理”技術,客戶端通過SSL VPN產品訪問內部整個子網時,不需要借助虛擬IP地址,也不需要改變內網服務器網關指向,有效地解決了NC功能配置和使用復雜的難題。但目前,“網絡層代理”技術還存在一個問題,即無法處理TCP連接由內向外發起的應用,無法做到“與應用無關”。如果有SSL VPN產品能夠同時具備NC和網絡代理功能,將會受到更多國內用戶的青睞。
更貼心的功能
以上列舉的只是SSL VPN產品的幾項主要技術,為了更好地滿足國內用戶的需求,SSL VPN產品還必須在功能上進一步貼近需求,不斷豐富。那么,國產SSL VPN產品在功能上應該如何“修煉內功”呢?
豐富的認證方式:國內用戶類型眾多,對認證方式和安全性要求也不盡相同。除了基本的本地口令外,動態口令、短信口令、口令+動態附加密、證書+USBKEY、口令+證書+USBKEY等多因素認證方式也越來越常見,成為對SSL VPN產品的基本要求。此外,隨著CA體系在中國不斷健全,越來越多的用戶從專業的CA企業購買服務,因此國產SSL VPN產品能否很好地與標準第三方CA系統兼容,能否提供標準OSCP、CRL等證書校驗接口,在一定程度上決定了該產品能否應用到用戶現有環境中。
線路優化:國內用戶常常向不同的ISP申請了多個公網IP提供服務。如果SSL VPN產品能夠利用多個網口通過多個公網IP對外提供接入訪問,并可以根據接入客戶端的ISP來源選擇最佳路徑,那么將可以大大提高訪問效率,更好地適應國內的網絡環境。
單點登錄:在用戶的內網中,OA系統通常都帶認證功能,使用者需要提交用戶名及口令才可登錄。加上SSL VPN后,用戶就首先要登錄SSL VPN,然后再次提交認證信息登錄OA,導致重復認證過程。為了簡化登陸程序,SSL VPN產品應該能記錄用戶登錄SSL VPN時的認證信息,在用戶訪問OA時,代替用戶提交認證,用戶不需要再次輸入用戶名和口令就可打開登錄成功后的頁面。
端點安全:安裝SSL VPN產品后,端點安全也是不得不考慮的重要方面。是否允許所有PC都接入SSL VPN,在連接SSL VPN隧道后是否允許訪問互聯網,在SSL VPN客戶端注銷后,訪問痕跡是否應該清理,都是SSL VPN需要重點考慮的幾個安全問題。目前,國內很多SSL VPN產品也都有應對措施。在客戶端主機接入之前,先檢測終端主機上是否具備管理員要求的某些特征,如操作系統版本、IE瀏覽器版本、是否運行了殺毒軟件等等,如果不滿足安全策略,則拒絕連接。在建立隧道后,SSL VPN產品還可以禁止客戶端主機訪問隧道以外的網絡以確保隧道安全;在終端用戶注銷后,還會自動清除此次的訪問痕跡,確保信息不被泄漏。此外,如果產品能實現帳號和客戶端主機特征綁定以及防偽造功能等,將可以進一步提高客戶端的端點安全性。
應用層防御:SSL VPN產品是以應用為核心的安全接入產品,因此應用層的安全防御必不可少。目前,防SQL注入,防跨站腳本和防非法URL訪問等功能已經出現在一些國內品牌SSL VPN產品上。甚至有廠商還提供了基于賬號的最大并發上限控制功能,有效防止了一個賬號惡意產生大量連接的DoS攻擊行為,有效保障了應用服務系統。
安全審計:SSL VPN產品相對傳統VPN的優勢之一就是審計更加詳細。相比而言,SSL VPN產品更關注賬號而不僅僅只是IP地址。在日志中應該可以記錄哪個用戶、在什么時間,在什么地理位置通過哪個ISP登錄了SSL VPN,訪問了什么服務,訪問了哪些Web頁面等等。另外,SSL VPN產品還應該提供基于各種條件(如時間范圍、關鍵字等)的查詢功能,甚至可以根據時間范圍生成報表提供瀏覽和下載。
綜合以上所有因素來看,SSL VPN產品與其說是一項技術,不如視之為服務。誰的SSL VPN產品能在上面所述各項技術和功能中做得更精細,更人性化,更貼近用戶需要,誰的產品就會在激烈的市場競爭中取得勝利。
【編輯推薦】
